SAMBA с авторизацией в AD
Настраиваем Samba для работы с Active Directory и Win 2003
При внедрение Linux в компаниях и организациях возникает множество проблем.
Одна из которых является работа учетных записей AD в Linux. Многие современные дистрибутивы оснащены графическими утилитами настройки, но если используются старые или специализированные дистрибутивы все настройки выполняются по средствам редактирования конфигурационных файлов.
1) Настраиваем samba и winbind
lmhosts — 10.3.0.7 core.corpus.company
smb.conf
[global]
workgroup = ваша группа
server string = Samba
load printers = no
security = domain
wins server = IP адрес сервера
password server = IP адрес сервера
password level = 8
username level = 20
map to guest = Bad Password
socket options = TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192
local master = no
domain master = no
name resolve order = hast wins bcast lmhosts
os level = 33
dns proxy = no
log file = /var/log/samba/log.%m
interfaces = eth0
winbind use default domain = yes
template shell = /bin/bash
template homedir = /home/%U
winbind uid = 16777216-33554431
winbind gid = 16777216-33554431
restrict anonymous = no
preferred master = no
max protocol = NT
ldap ssl = No
server signing = Auto
2) ввод в компьютера в домен
net join -U SYSAM
после введем пароль
если все нармально то должно появиться Joined domain
3) запустить winbind start
4) #wbinfo –set-auth-user=имя%пароль любого доменного пользователя
5) изменим /etc/nsswitch.conf
passwd: files winbind
shadow: files winbind
group: files winbind
6) Проверка работы winbind
#wbinfo -u
должен появится список всех пользователей
команда wbinfo -g должен появится список групп домена
7) Настройка механизма авторизации pam
редактируем файл /etc/pam.d/system-auth
auth required /lib/security/$ISA/pam_env.so
auth sufficient /lib/security/$ISA/pam_winbind.so
auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok use_first_pass
auth required /lib/security/$ISA/pam_deny.so
account required /lib/security/$ISA/pam_unix.so
account sufficient /lib/security/$ISA/pam_winbind.so
account sufficient /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet
account required /lib/security/$ISA/pam_permit.so
password requisite /lib/security/$ISA/pam_cracklib.so retry=3
password sufficient /lib/security/$ISA/pam_winbind.so
password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
password required /lib/security/$ISA/pam_deny.so
session required /lib/security/$ISA/pam_mkhomedir.so skel=/etc/skel umask=0077
session required /lib/security/$ISA/pam_limits.so
session required /lib/security/$ISA/pam_unix.so
проверим работу pam
#getent passwd
#getent group
должен появиться список всех доменных пользователей которым можно войти в систему
создать базовый каталог для доменных учеток
#mkdir /home/corpus_
на моем компьютере (Mandriva 2008) оказалось не обязательным
9) проверка доверенных доменов
#net rpc trustdom list -S DC_Server -U username%password
должно появиться вот это 
Trusted domains list:
S-1-5-21-1177238915-261478967-725345543
S-1-5-21-1220945662-413027322-725345543
S-1-5-21-1214440339-1547161642-682003330
S-1-5-21-796845957-823518204-1801674531
S-1-5-21-1993962763-261903793-839522115
Trusting domains list:
S-1-5-21-507921405-436374069-682003330
Проверим корректность авторизации
su учетка
пароль
если учетку принял и создал под нее папки
ТО МОЖНО РАБОТАТЬ ПОД ЛЮБОЙ УЧЕТКОЙ AD
PhoeniX